Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ランサム「Locky」が活動再開か - Wordファイル入りPDFで拡散

2016年に国内でも多数観測されたランサムウェアの「Locky」だが、再びあらたな活動が複数のベンダーによって観測されている。

PhishMeでは、「Locky」の感染を目的としたスパムの拡散を4月21日に確認。今回の感染活動では、従来とは異なり、Officeのマクロファイルを利用。不正送金マルウェアとして知られる「Dridex」の拡散方法と類似していると指摘している。

攻撃に利用されたファイルを解析したKaspersky Labによれば、メールへ添付されていたファイルは、PDFファイルを使用。外部よりファイルをダウンロードするVBAマクロを含むWordファイルがPDFファイルへと埋め込まれていた。

PDFファイルを開くと、Wordファイルが開くしくみで、その際に誤って「編集を有効にする」ボタンをクリックすると、ダウンロードされたランサムウェアによりファイルが暗号化される。暗号化後に追加される拡張子は「.osiris」だった。

今のところ、今回の攻撃キャンペーンで日本語を用いたスパムメールは確認されていないという。しかし、暗号化後に金銭を要求するページは、日本語を含む31カ国語に対応していた。

また今回の攻撃では、国内の一部サーバが踏み台に悪用されていた。問題のサーバは、2016年9月より改ざんされた状態が続いていると見られている。

(Security NEXT - 2017/04/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

5月はウェブ経由の攻撃が増加 - 新ランサム「Jaff」の拡散も
国内で検知急増のランサム「Jaff」に復号化ツール
ランサムウェア「Jaff」が拡散、国内で多数検知
MS、国家関与などで脅威高まる脆弱性を公表 - 旧OSにパッチ供給、ゼロデイ脆弱性にも対応
ランサムウェア「EncrypTile」の復号化ツールが公開
ネット経由で脆弱性攻撃受けるか診断できる無料サービス - 「WanaCrypt」に対応
セキュリティ市場、2020年までは堅調 - 反動から2021年に軟化
中学生作成のランサムウェア、暗号鍵がハードコード - サンプルコード利用の形跡も
Jiransoft製ランサムウェア対策ソフトのインストーラに脆弱性 - 修正を実施
カスペと静岡大、「ジュニアスマホ検定」の2017年度版を公開